信息系统安全等级保护检查
信息安全等保测评 现场情况介绍
![信息安全等保测评 现场情况介绍](https://img.taocdn.com/s3/m/60d49a705b8102d276a20029bd64783e09127da4.png)
信息安全等保测评现场情况介绍信息安全等级保护测评是对企业信息系统安全等级进行测评和评估的一项重要工作,它的目的是保障企业信息系统的安全性,防止信息泄露和损害,确保信息系统和网络的正常运行。
为了更好地了解信息安全等级保护测评的现场情况,我们将对其进行详细介绍。
首先,信息安全等级保护测评涉及的范围非常广泛,包含了网络安全、数据安全、应用安全等多个方面,因此现场情况的介绍也将分为不同的部分。
网络安全方面:在进行信息安全等级保护测评时,首先需要对企业的网络进行全面的扫描和分析,包括内网和外网的安全漏洞扫描,网络设备配置的审查等。
针对网络设备的配置,需要检查防火墙、路由器、交换机等设备的配置是否合理,是否存在安全隐患。
同时还需要检查企业的网络流量监控和入侵检测系统的运行情况,确保网络运行的稳定和安全。
数据安全方面:数据是企业最宝贵的资产之一,因此在信息安全等级保护测评中,需要对企业的数据进行全面的安全审查。
这包括数据库的安全设置、数据备份和恢复机制的完整性以及数据加密等方面。
同时,还需要检查企业的数据访问权限控制和数据传输加密机制是否健全,以保障数据的安全和完整性。
应用安全方面:企业的应用系统是信息系统的核心,也是最容易受到攻击的部分,因此在信息安全等级保护测评中,需要对企业的应用系统进行全面的安全评估。
这包括对应用系统的漏洞扫描、安全配置审查、安全编码审查等方面,以及对应用系统的权限管理和访问控制等方面进行检查。
在信息安全等级保护测评的现场情况介绍中,还需要考虑到测评的方法和工具的选择。
一般来说,信息安全等级保护测评会采用一些知名的测评方法和工具,比如网络扫描工具、漏洞扫描工具、渗透测试工具等,这些工具和方法将直接影响到测评的结果和准确性。
因此在现场情况的介绍中,需要对测评方法和工具的选择进行详细的说明,以及说明这些方法和工具的使用情况和效果。
另外,信息安全等级保护测评还需要考虑到企业的管理和人员培训情况。
信息安全等级保护工作检查总结材料
![信息安全等级保护工作检查总结材料](https://img.taocdn.com/s3/m/d80da51f2e60ddccda38376baf1ffc4ffe47e2c8.png)
信息安全等级保护工作检查总结材料作为当下信息化社会的关键环节,信息安全保护工作显得尤为重要。
而信息安全等级保护则是保护政府、军队、科研单位、金融、电信、能源等关键领域信息系统安全的一项重要工作。
近日,本单位进行了信息安全等级保护工作检查,现将检查总结材料如下:一、检查背景及目的信息安全等级保护工作检查是为了进一步加强本单位信息系统的安全保护工作,提升信息安全等级保护工作水平,保障信息系统安全并提高信息资产价值的合理利用。
检查主要针对本单位信息安全等级保护工作进行全面规范性检查,着重检查本单位信息安全等级保护工作的有效性、规范性、针对性和全面性。
二、检查内容本次检查主要围绕以下五项内容展开:1. 安全管理制度是否健全,是否有合适的信息安全管理责任人,是否有有效的信息安全等级保护方案和应急预案。
2. 信息系统和网络的防护能力是否符合本单位实际需求,包括网络拓扑、网络设备、智能流控、入侵防御等方面。
3. 组织安全部分是否运作完善,是否对系统和网络进行事件监控、稽核等,是否有审计、日志记录等严密的安全监管机制。
4. 对本单位业务中涉及到的关键信息数据、系统等是否进行分类和归档,数据加密、备份、灾备是否实现等。
5. 对本单位信息安全等级保护工作的效果进行评估,是否对提升本单位全体员工的信息安全意识做到有效引导。
三、检查结果通过本次信息安全等级保护工作的检查,我们发现了一些存在的问题。
首先,在安全管理制度方面,本单位制定的信息安全等级保护方案和应急预案有些过于简略,需要进一步合理完善。
其次,在防护能力方面,本单位的网络拓扑结构较为复杂,需要注重网络设备、智能流控等方面的进一步加固和完善。
第三,在组织安全部分方面,本单位实施情况值得肯定,但在审计、日志记录等方面仍需进一步完善。
第四,在关键信息数据、系统方面,本单位的数据归档和备份工作亟待解决。
最后,在信息安全意识方面,本单位已取得不错的成果,但仍需继续加大力度。
公安机关信息安全等级保护检查工作规范
![公安机关信息安全等级保护检查工作规范](https://img.taocdn.com/s3/m/a3e48038a98271fe900ef93a.png)
公安机关信息安全等级保护检查 工作规范
第三条 信息安全等级保护检查工作由市 (地)级以上公安机关公共信息网络安 全监察部门负责实施。每年对第三级信
• 息按照系等统级的保护运和营监使督检用查单要位求,信本息次安将对全各等单级位自保定义 为三护级的工信作息检系统查进一行次现场,检每查半定级年,为对以第后四每年级的信监息督检 查奠系定基统础的; 同运时营本使次是用首单次位开展信等息保安检查全工等作级,各保单护位自 定题级,工可本能次作存监检在督查偏检高查一或 也次过是。低协助(如各有单的位三准级确系定统级自的定过为程二,对级自)的定问
第五条 信息安全等级保护检查工作采取询 问情况,查阅、核对材料,调看记录、资 料,现场查验等方式进行。
• 公安网监部门会派出警力深入 到各单位进行现场检查,这就需要各 单位相关部门和领导给予高度重视和 大力支持,按照等保规范和检查要求 ,认真作好前期自定级和检查准备工 作,保证检查工作的顺利开展。在此, 也对各单位表示诚挚感谢!
4.制定本行业、本部门信息安全等级保护行业标准规 范并组织实施。
•
对各单位而言, 信息系统等级保护是一 项极为重要的系统性工程,不是某一个部 门就可以完成的,需要多个部门的合力协 作,其贯彻落实必须得到单位领导的高度 重视以及周密的工作部署。
•
管理的具体内容包含:
➢明确安全政策:学习信息安全等级保护政策,建 设和完善信息系统安全制度
•
公安机关信息安全等级保护检查 工作规范
– (四)信息安全设施建设情况和信息安全整改情 况;
– (五)信息安全管理制度建设和落实情况; – (六)信息安全保护技术措施建设和落实情况; – (七)选择使用信息安全产品情况; – (八)聘请测评机构按规范要求开展技术测评工
信息安全技术 信息系统安全等级保护测评要求
![信息安全技术 信息系统安全等级保护测评要求](https://img.taocdn.com/s3/m/0004a70132687e21af45b307e87101f69e31fbc3.png)
信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分,对于信息系统的安全等级保护测评要求也变得愈发重要。
信息系统安全等级保护测评是指为了评估信息系统的安全性,保障信息系统的功能和安全性,根据《信息安全技术信息系统安全等级保护测评要求》,对信息系统进行等级保护测评,明确信息系统安全等级。
二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》,信息系统安全等级分为四个等级,分别是一级、二级、三级和四级。
每个等级都有相应的技术和管理要求,以及安全保护的措施。
在信息系统安全等级保护测评中,根据信息系统的安全等级,采用不同的测评方法和技术手段,对信息系统进行全面的评估和测试。
三、技术要求在信息系统安全等级保护测评中,技术要求是至关重要的一环。
根据《信息安全技术信息系统安全等级保护测评要求》,信息系统的技术要求包括但不限于以下几个方面:1. 安全功能要求信息系统在进行测评时,需要满足一定的安全功能要求。
对于不同等级的信息系统,需要有相应的访问控制、身份认证、加密通信等安全功能,以确保系统的安全性。
2. 安全性能要求信息系统的安全性能也是非常重要的。
在信息系统安全等级保护测评中,需要对系统的安全性能进行评估,包括系统的稳定性、可靠性、容错性等方面。
3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。
通过鉴别技术对信息系统进行鉴别,以确定系统的真实性和完整性,防止系统被篡改和伪造。
4. 安全风险评估要求在信息系统安全等级保护测评中,需要进行全面的安全风险评估,包括对系统可能存在的安全威胁和漏洞进行评估,以及制定相应的安全保护措施和应急预案。
四、管理要求除了技术要求之外,信息系统安全等级保护测评还需要满足一定的管理要求。
管理要求主要包括以下几个方面:1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系,包括安全管理策略、安全管理制度、安全管理流程等,以确保信息系统的安全性。
信息安全等级保护自查报告
![信息安全等级保护自查报告](https://img.taocdn.com/s3/m/b8358d58e55c3b3567ec102de2bd960590c6d93d.png)
篇⼀:信息安全等级保护⾃查报告 XX县烟草专卖局(分公司)的信息络安全建设在上级部门的关⼼指导下,近年取得了快速的进步和发展,实效性强,络安全防控能⼒⼤⼤增强。
为进⼀步贯彻落实⾏业络与信息安全各项管理规定,严格规范信息安全等级保护,提⾼企业对信息络安全的防控能⼒,保障企业信息络安全,保证公司各项办公⾃动化⼯作的正常进⾏,促进企业效益的稳步提升,按照《XX县⼈民政府办公室关于开展信息络信息安全等级保护安全检查⼯作的通知》要求,我司组织相关⼈员对系统内信息络安全等级保护⼯作认真细致的⾃检⾃查,现将⾃查情况报告如下。
⼀、等级保护⼯作部署和组织实施情况 XX县烟草公司企业信息化建设在市局(公司)的统⼀领导下,按照“统⼀络、统⼀平台、统⼀数据库”的要求,以打造“数字烟草”为战略⽬标,以“系统集成、资源整合、信息共享”为⼯作⽅针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视络信息的安全建设⼯作。
从省公司到市公司、县公司,领导⾼度重视,统⼀规划,统⼀标准,同步实施。
⾸先是逐级成⽴了领导⼩组和职能部门,XX分公司按照上级部门要求,2000年11⽉成⽴了信息化领导⼩组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各⾃的职责。
由于络推⼴应⽤迅速,2005年重新更设了计算机络信息中⼼,旨在强化对企业的络建设和络安全管理。
在历次的机构设置中,都明确了分公司主要领导分管信息⼯作,把络信息安全的建设与管理摆到了企业各项⼯作的重要位置中来,表明了企业对信息化建设、络安全管理的⾼度重视和决⼼。
其次是对⾏业的络安全建设⾼瞻远瞩、统⼀标准、规范运作、务求实效。
先后省公司下发了《云南省烟草专卖局关于建设云南省⾏业计算机络与信息安全系统的通知》,对全⾏业的络信息安全建设作了明确、细致的规定,制定了⾼效规范的《云南省烟草⾏业计算机络与信息安全系统建设⽅案》,统⼀在全系统范围内实施。
随后市局公司⼜下发了《曲靖市烟草专卖局(公司)关于建设络安全系统的通知》,对各分公司的络安全建设作了具体的安排部署。
信息安全技术信息系统安全等级保护测评要求
![信息安全技术信息系统安全等级保护测评要求](https://img.taocdn.com/s3/m/51192d875122aaea998fcc22bcd126fff6055d55.png)
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易处理到政府部门的政务服务,从企业的生产管理到个人的社交娱乐,信息系统无处不在。
然而,随着信息系统的广泛应用,其面临的安全威胁也日益严峻。
为了保障信息系统的安全可靠运行,保护国家、社会和个人的利益,信息系统安全等级保护测评工作显得尤为重要。
信息系统安全等级保护测评是指依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,从而提高信息系统的安全防护能力。
那么,信息系统安全等级保护测评到底有哪些具体要求呢?首先,测评工作需要遵循一系列的法律法规和标准规范。
我国已经出台了《中华人民共和国网络安全法》等相关法律法规,明确了信息系统安全保护的责任和义务。
同时,还有一系列的国家标准和行业规范,如《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》等,为测评工作提供了详细的指导和依据。
其次,测评工作需要对信息系统进行全面的调研和分析。
这包括了解信息系统的业务功能、网络拓扑结构、系统架构、安全设备部署、安全管理制度等方面的情况。
通过对这些信息的收集和整理,为后续的测评工作奠定基础。
在技术层面,测评要求涵盖了物理安全、网络安全、主机安全、应用安全和数据安全等多个方面。
物理安全方面,要确保信息系统所在的机房环境符合安全要求,如防火、防水、防潮、防盗、电力供应稳定等。
同时,机房的访问控制也要严格,只有授权人员能够进入。
网络安全方面,需要检查网络设备的配置是否合理,是否存在网络漏洞和攻击风险。
例如,防火墙的规则设置是否有效,入侵检测系统是否能够及时发现异常流量,网络访问控制策略是否严格等。
主机安全方面,要关注操作系统和数据库的安全配置,是否及时安装了补丁,是否存在默认账号和弱口令等问题。
信息系统安全等级保护测评要求
![信息系统安全等级保护测评要求](https://img.taocdn.com/s3/m/b9dab30aae45b307e87101f69e3143323968f58f.png)
信息系统安全等级保护测评要求
一、简介
信息系统安全、个人隐私保护和网络安全问题一直是个热点和特殊的研究课题,也是
信息技术世界范围内备受关注的热点。
信息系统安全等级保护(Information System Security Level Protection, ISSLP)测评是一项用来评估信息系统安全水平的评估方法,目的是为信息系统提供安全、可靠保护,防止网络安全攻击和信息泄露。
本文结合安全自
评和安装者评价两个方面,系统总结以下ISSLP测评要求。
二、ISSLP测评要求
1)安全自评:
(1)组织安全管理体系:包括安全系统结构、人员应聘、培训和定期评审、安全管
理架构和流程、安全风险管理体系和安全配置管理。
(2)数据安全性:需要检查系统数据存储、采集和处理能力以及安全加密算法等。
(3)网络安全性:需要检查系统的防火墙、虚拟隔离、网络监控、日志分析等。
2)安全第三方评价:
(1)程序测试:包括对系统程序行为的测试和检查,监督操作,及时发现系统、应
用程序和数据库中可能存在的安全问题。
(2)静态测试:针对需要安全和可靠性测试的技术安全策略,进行程序漏洞分析,
安全漏洞识别,安全破坏分析,保护系统安全等测试。
(3)动态测评:用来评估系统应付攻击环境下的实际可靠性,系统能否充分实现安
全要求,避免恶意行为攻击对安全造成损害。
三、结论
ISSLP测评为了防止安全攻击和信息系统的安全威胁,提出了许多有用的安全措施。
系统架构,数据安全性,网络安全配置,程序测试,静态测试,动态验证等都需要定期检
查和测评,以确保信息系统的安全和可靠性。
公安机关信息安全等级保护检查工作规范
![公安机关信息安全等级保护检查工作规范](https://img.taocdn.com/s3/m/00cd4ec4e45c3b3566ec8b34.png)
公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
信息系统安全等级保护第一级检查-管理要求+技术要求
![信息系统安全等级保护第一级检查-管理要求+技术要求](https://img.taocdn.com/s3/m/55f07c14f12d2af90242e62c.png)
应用系统的输入域设有长度限制; 应用系统的日期型输入域设有限制,输入非日期数值进行过滤。 应用系统的数值型输入域设有限制,对输入字符或字母进行过滤; 应用系统不存在SQL注入漏洞(如未过滤单引号等); 应用系统对可上传的文件类型具有限制,不能上传.asp、.jsp、.php和webshell脚本等文件; 应用系统是否采取身份标识和鉴别措施? 应用系统已对管理员权限或者用户权限进行区分控制; 具有对重要信息的备份与恢复策略。
网络安全
软件容错 应用安全
软件容错 应用安全 身份鉴别 访问控制 备份和恢复
数据安全及备份恢复
a 检查项 检查是否建立日常管理活动中常用的安全管理制度。 检查是否配备一定数量的系统管理员、网络管理员、安全管理员。
检查是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用。 检查是否对外部人员访问受控区域前进行授权或审批,查验审批记录。
检查范围 安全管理制度 安全管理机构
检查内容 管理制度 人员配备 人员录用
人员安全管理
外部人员访问管理 系统定级 安全方案设计 产品采购和使用 工程实施 测试验收 环境管理 资产管理 设备管理
系统建设管理
网络安全管理 系统运维管理 系统安全管理 恶意代码防范管理
安全事பைடு நூலகம்处置
物理访问控制 物理安全 温湿度控制 结构安全 访问控制 网络设备防护 恶意代码防范 主机安全 身份鉴别 访问控制
指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 检查是否编制与信息系统相关的资产清单。
否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
公安机关信息安全等级保护检查工作规范标准
![公安机关信息安全等级保护检查工作规范标准](https://img.taocdn.com/s3/m/a1970c8dc281e53a5902ff52.png)
公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
信息系统安全等级保护测评报告
![信息系统安全等级保护测评报告](https://img.taocdn.com/s3/m/5a42b9b5f80f76c66137ee06eff9aef8941e488c.png)
技术发展趋势:云计算、大数据、物联网等技术的发展对信息安全等级保护提出了新的挑战和 机遇。
政策法规完善:随着信息安全等级保护工作的深入,政策法规将不断完善,为信息安全等级保 护工作提供更加明确的指导。
企业投入加大:企业对信息安全的重视程度不断提高,投入也将加大,为信息安全等级保护工 作提供更加充足的资源。
信息系统安全等级 保护建议与展望
加强信息系统安全管理制度建设,完善 安全管理体系
定期进行信息系统安全等级测评,及时 发现和解决问题
加强信息系统安全技术防护,提高系统 安全性
加强信息系统安全培训和教育,提高员 工安全意识
加强与相关部门的沟通和协作,共同维 护信息系统安全
建立完善的信息系统安全应急预案,确 保在突发事件中能够及时响应和处理
测评结论:系统在安全 防护、数据保护、系统 管理等方面均符合安全 等级保护的要求
建议:加强系统安全 管理,提高系统安全 防护能力,确保系统 安全稳定运行
结论:系统安全等级保 护测评结果符合要求, 建议加强安全管理,提 高系统安全防护能力。
信息系统安全等级保护测评发现的问题 整改建议 具体问题描述及原因分析 整改措施及效果评估
测评结果:根据测评结果,给出安全等 级保护建议和整改措施
审查目的:检查信 息系统的安全等级 保护文档是否齐全、 合规
审查内容:包括但 不限于安全策略、 安全制度、安全技 术措施等
审查方法:查阅文 档、访谈相关人员 、实地考察等
审查结果:对文档 审查结果进行汇总 和分析,提出改进 建议和措施
测评结果汇总: 对测评过程中发 现的安全问题进 行汇总,包括漏 洞、风险、威胁 等
信息系统安全等级保 护测评报告
汇报人:
公安机关信息安全等级保护检查工作规范
![公安机关信息安全等级保护检查工作规范](https://img.taocdn.com/s3/m/e5f08d930722192e4436f699.png)
公安机关信息安全等级保护检查工作规范内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
信息系统安全等级保护测评报告3
![信息系统安全等级保护测评报告3](https://img.taocdn.com/s3/m/b390acedc67da26925c52cc58bd63186bceb92fb.png)
报告编号:(-16-1303-01)信息系统安全等级测评报告说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公+安机关颁发的信息系统备案证明(或备案回执)上获得。
第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。
第二组为年份,由2位数字组成。
例如09代表2009年。
第三组为测评机构代码,由四位数字组成。
前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明本报告是票务系统的安全等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
等保测评的内容
![等保测评的内容](https://img.taocdn.com/s3/m/3a40725e5e0e7cd184254b35eefdc8d376ee14cb.png)
等保测评的内容等保测评是指信息系统安全等级保护测评,是我国国家信息安全等级保护制度的核心内容之一。
它是对信息系统安全等级保护实施情况进行全面、系统和客观评估的工作,旨在确保信息系统的安全性和可信度,以保护国家重要信息基础设施的安全。
等保测评的内容主要包括以下几个方面:1. 等级划分:等保测评将信息系统划分为不同的安全等级,根据信息系统的重要性和风险等级进行分类。
等级划分是根据国家相关标准和规范进行的,包括信息系统的功能、数据、技术和管理等方面的要求。
2. 测评方法:等保测评采用一系列科学、客观、系统的方法和技术,对信息系统的安全性进行评估和测试。
测评方法包括安全检查、漏洞扫描、渗透测试、安全评估等,旨在发现系统中存在的安全风险和问题,并提供改进建议。
3. 测评指标:等保测评依据国家相关标准和规范,制定了一系列测评指标,用于评估信息系统的安全性。
测评指标包括物理安全、网络安全、系统安全、数据安全、应用安全、人员安全等多个方面,通过对这些指标的评估,可以全面了解信息系统的安全情况。
4. 测评结果:等保测评将根据测评指标对信息系统进行评估,得出测评结果。
测评结果通常以等级划分的形式呈现,包括安全等级和评估等级。
安全等级用于表示信息系统的重要性和风险等级,评估等级用于表示信息系统的安全性和合规性。
5. 改进措施:等保测评结果将提供改进措施和建议,以帮助信息系统的管理者改善和加强系统的安全保护。
改进措施可以包括技术措施、管理措施和人员培训等方面,旨在提高信息系统的安全性和可信度。
总之,等保测评是对信息系统安全等级保护实施情况进行评估的工作,通过科学的方法和技术,评估信息系统的安全性,提供改进措施和建议,以保护国家重要信息基础设施的安全。
公安机关信息安全等级保护检查工作规范
![公安机关信息安全等级保护检查工作规范](https://img.taocdn.com/s3/m/01e95507a9114431b90d6c85ec3a87c241288a52.png)
公安机关信息安全等级保护检查工作规范试行第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据信息安全等级保护管理办法以下简称管理办法,制定本规范;第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员;第三条信息安全等级保护检查工作由市地级以上公安机关公共信息网络安全监察部门负责实施;每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次;第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导;第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行;第六条检查的主要内容:(一)等级保护工作组织开展、实施情况;安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况;第七条检查项目:一等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况;2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员;3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案;4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施;二信息系统安全等级保护定级备案情况1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议;2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况;3.补充提交信息系统安全等级保护备案登记表表四中有关备案材料;4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况;5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况;三信息安全设施建设情况和信息安全整改情况1.部署和组织开展信息安全建设整改工作;2.制定信息安全建设规划、信息系统安全建设整改方案;3.按照国家标准或行业标准建设安全设施,落实安全措施;四信息安全管理制度建立和落实情况1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度;2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书;3.建立安全审计管理制度、岗位和人员管理制度;4.建立技术测评管理制度,信息安全产品采购、使用管理制度;5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练;6.建立教育培训制度,定期开展信息安全知识和技能培训;五信息安全产品选择和使用情况1.按照管理办法要求的条件选择使用信息安全产品;2.要求产品研制、生产单位提供相关材料;包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等;3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测;六聘请测评机构开展技术测评工作情况1.按照管理办法的要求部署开展技术测评工作;对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评;2.按照管理办法规定的条件选择技术测评机构;3.要求技术测评机构提供相关材料;包括营业执照、声明、证明及资质材料等;4.与测评机构签订保密协议;5.要求测评机构制定技术检测方案;6.对技术检测过程进行监督,采取了哪些监督措施;7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正;8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改;七定期自查情况1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查;第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查;2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改;第八条各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作;具体要求是:对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查;对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查;第九条对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门;因故无法会同的,公安机关可以自行开展检查;第十条公安机关开展检查前,应当提前通知被检查单位,并发送信息安全等级保护监督检查通知书见附件1;第十一条检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件;第十二条检查中应当填写信息系统安全等级保护监督检查记录以下简称监督检查记录,见附件2;检查完毕后,监督检查记录应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况;监督检查记录应当存档备查;第十三条检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送信息系统安全等级保护限期整改通知书以下简称整改通知,见附件3;逾期不改正的,给予警告,并向其上级主管部门通报通报书见附件4:(一)未按照管理办法开展信息系统定级工作的;(二)信息系统安全保护等级定级不准确的;(三)未按管理办法规定备案的;四备案材料与备案单位、备案系统不符合的;五未按要求及时提交信息系统安全等级保护备案登记表表四的有关内容的;六系统发生变化,安全保护等级未及时进行调整并重新备案的;七未按管理办法规定落实安全管理制度、技术措施的;八未按管理办法规定开展安全建设整改和安全技术测评的;九未按管理办法规定选择使用信息安全产品和测评机构的;十未定期开展自查的;十一违反管理办法其他规定的;第十四条检查发现需要限期整改的,应当出具整改通知,自检查完毕之日起10个工作日内送达被检查单位;第十五条信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查;第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查;第十七条受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导;第十八条公安机关进行安全检查时不得收取任何费用;第十九条本规范所称“以上”包含本数级;第二十条本规范自发布之日起实施;附件1存根一式两份,一份交被通知单位,一份附卷;附件2此记录由公安机关存档信息安全等级保护监督检查记录单此记录由公安机关存档公安机关印章年月日附件3被检查单位主管人员签名一式两份,一份交被检查单位,一份附卷;附件4一式两份,一份交被检查单位,一份附卷;。
信息安全等级保护检查工具箱标准
![信息安全等级保护检查工具箱标准](https://img.taocdn.com/s3/m/6be34dabe109581b6bd97f19227916888486b9b7.png)
信息安全等级保护检查工具箱标准信息安全等级保护检查工具箱标准信息安全一直是当今社会和互联网时代亟待解决的重要问题之一。
随着网络技术的发展和互联网的普及,我们面临的安全风险也变得日益严峻。
在这种背景下,信息安全等级保护检查工具箱标准应运而生,成为一种有效的信息安全保障手段。
一、什么是信息安全等级保护检查工具箱标准?信息安全等级保护检查工具箱标准,简称“工具箱标准”,是指用于评估和检查信息系统和网络安全等级保护工作的一种标准。
该标准主要由国家信息安全保护主管部门、行业协会和相关专家共同研究和制定,旨在为各类信息系统和网络提供统一的安全检查工具和评估方法。
二、工具箱标准的背景和意义在信息化和数字化的时代,信息安全问题日益突出,信息泄露、网络攻击、恶意代码等威胁随处可见。
为了有效地保护个人隐私、企业机密和国家重要信息资产的安全,在各个行业和领域中推进信息安全等级保护工作显得尤为重要。
工具箱标准的出现,有助于规范信息安全评估和检查工作,提高信息系统和网络的安全性,避免重大信息安全事故的发生。
这不仅对于国家安全具有重要意义,也是企业和个人信息安全保护的需要。
三、工具箱标准的内容和特点工具箱标准主要包括以下内容:1.基础评估方法:规定了信息安全等级保护评估的基本原则、方法和指标体系,通过对信息系统的分类、攻击表演、风险分析等方面进行全面评估。
2.安全技术要求:明确了信息系统和网络的安全技术要求,包括密码学算法、访问控制、网络防护、安全审计等方面的要求,以确保系统和网络的安全性。
3.安全检查工具:提供了一系列可操作性强、功能全面的安全检查工具,帮助评估人员便捷地进行信息安全等级保护的检查和评估。
工具箱标准具有以下特点:1.综合性:工具箱标准不仅仅关注信息系统和网络的安全性,还包括安全技术要求、评估方法和工具等多个方面,为整个评估过程提供全面的指导和支持。
2.灵活性:工具箱标准的评估方法和工具具有一定的灵活性,可以根据不同信息系统和网络的特点进行个性化的设置和调整,满足不同行业和领域的需求。
安机关信息安全等级保护检查工作规范.doc
![安机关信息安全等级保护检查工作规范.doc](https://img.taocdn.com/s3/m/676beaa2b9f3f90f76c61be7.png)
安机关信息安全等级保护检查工作规范1 安机关信息安全等级保护检查工作规范(一)开展信息系统安全等级测评,为信息系统安全提供保障。
选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。
等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。
经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。
各部门要及时向受理备案的公安机关提交等级测评报告。
对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。
建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
信息系统安全检查报告
![信息系统安全检查报告](https://img.taocdn.com/s3/m/8a0f4b806e1aff00bed5b9f3f90f76c661374c29.png)
信息系统安全检查报告一、引言随着信息技术的飞速发展,信息系统在企业和组织中的应用日益广泛。
然而,信息系统面临的安全威胁也日益严峻。
为了保障信息系统的安全稳定运行,提高信息系统的安全性和可靠性,我们对_____(被检查单位名称)的信息系统进行了全面的安全检查。
二、检查目的本次信息系统安全检查的目的是全面评估被检查单位信息系统的安全状况,发现潜在的安全风险和漏洞,提出针对性的整改建议,以提高信息系统的安全性和防护能力,保障业务的正常运行。
三、检查范围本次检查涵盖了被检查单位的以下信息系统:1、办公自动化系统(OA)2、财务管理系统3、客户关系管理系统(CRM)4、企业资源规划系统(ERP)5、网站和电子邮件系统四、检查依据本次检查依据以下标准和规范进行:1、《中华人民共和国网络安全法》2、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019)3、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)五、检查内容1、物理安全检查机房环境,包括温度、湿度、电力供应、防火、防水等设施是否符合要求。
检查服务器、网络设备等硬件设备的放置和防护是否合理。
2、网络安全检查网络拓扑结构,评估网络架构的合理性和安全性。
检查网络访问控制策略,包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等设备的配置和运行情况。
检查网络设备的安全配置,如密码强度、访问权限等。
3、主机安全检查服务器和客户端操作系统的安全配置,包括补丁更新、账号管理、权限设置等。
检查防病毒软件的安装和运行情况。
4、应用安全检查应用系统的身份认证、授权管理、数据加密等安全机制。
检查应用系统的漏洞扫描和修复情况。
5、数据安全检查数据备份策略和恢复计划的制定和执行情况。
检查数据的加密存储和传输情况。
6、安全管理制度检查安全管理制度的制定和完善情况,包括人员安全管理、系统建设管理、系统运维管理等方面的制度。
检查安全管理制度的执行情况,包括人员培训、安全审计等。
信息安全等级保护制度-信息安全检查管理规定
![信息安全等级保护制度-信息安全检查管理规定](https://img.taocdn.com/s3/m/7116a23bfd4ffe4733687e21af45b307e871f9f0.png)
XXXX有限公司信息安全检查管理规定第一章总则第一条为了加强XXXX有限公司信息安全检查工作,及时发现管理和技术层面存在的薄弱环节和安全隐患,有效保障网络和信息系统的稳定可靠运行,减少或防止信息安全事件的发生,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,制定本规定。
第二条本规定适用于XXXX有限公司内部或外部的信息安全检查活动。
第三条信息安全领导小组办公室负责为信息安全检查工作提供资源保证和授权;负责组织协调各部门配合信息安全检查工作。
第四条信息安全管理员负责编制信息系安全检查内容及评分表,对各部门信息安全要求的落实情况进行检查和评价,并负责外部信息安全检查的接待工作。
第五条被检查部门应全力配合安全检查,如实提供所需材料和信息,对发现的问题制定整改措施,并按计划实施整改。
第二章检查方式和程序第六条信息安全检查按照执行方式的不同可分为内部检查和外部检查。
第七条内部检查以信息安全领导小组办公室为主导,信息安全管理员牵头,检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
第八条外部检查主要以合规为驱动,检查内容主要包括信息系统等级保护测评、监管机构专项安全检查等。
第九条外部安全检查频率按照监管机构要求执行,内部安全检查频率每年不低于1次,如果发生下列情况,需及时进行安全检查:(一)发生重大安全事件;(二)公司组织架构变更;(三)公司业务发生重大变化;(四)信息技术发生重大变革。
第十条安全检查工作程序分为四个阶段:准备阶段、实施阶段、报告编制阶段和整改阶段。
第三章安全检查的准备第十一条信息安全管理员应建立信息安全检查机制,制订年度检查计划,检查计划应根据实际情况及时进行补充和调整。
第十二条在进行制度执行检查前,应根据检查时间、人员安排等实际情况,以信息安全检查提纲为主要依据(参考附件),及国内外其他信息安全法律法规和标准,最终确定本次信息安全检查指标内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第14章信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。
系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。
本章中将详细叙述检查重要性、分类和实施方式。
14.1.1 概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。
所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。
14.1.2 检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。
(1)自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。
若系统所有者的自检查有周期性,则不必每次都执行完
整的检查流程,而只是自检查系统变化的部分和重要部位。
(2)监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。
监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自
检查的基础上,只执行关键部门的检查。
(3)委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。
14.1.3 检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。
本章将从内容划分进行描述。
(1)管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。
(2)技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。
14.2 检查的目标和内容
14.2.1 检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。
美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。
维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。
为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。
14.2.2 检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。
表14-1 系统检查内容
14.3 检查的实施
14.3.1 管理类检查
1.组织安全检查
检查对象:信息安全组织机构相关文档和管理制度。
检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。
表14-2 组织机构安全管理检查
检查对象:人员管理的制度和记录。
检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。
表14-3 人员安全管理检查表
检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。
检查条目和结果判定参照系统建设管理检查表,如表14-4所示。
表14-4 系统建设管理检查表
14.3.2 技术类检查
1.物理安全检查
检查对象:机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。
检查条目:
1)物理环境安全
(1)检查机房安全环境,包括机房布线、防静电和防盗防毁措施的实施情况;
(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;
(3)检查机房管理制度和相关的记录文件;
(4)检查机房的门禁机监控系统运行情况和相关记录文件;
(5)检查屏幕和办公桌面。
2)设备物理安全
(1)检查物理设备的防电磁干扰和泄露措施;
(2)检查物理设备的维护情况和相关记录文档。
3)介质物理安全
(1)检查物理介质存放、管理措施和相关文档记录文件;
(2)检查物理介质信息消除措施的实施情况和相关记录;
(3)检查介质信息加密措施实施情况。
检查条目和结果判定可参照物理安全检查表,如表14-6所示。
检查对象:网络拓扑、安全策略、设备和网络安全的各类保障措施。
如访问控制等的实施情况以及相关的记录和审计文件等。
检查条目:
1)结构安全
(1)网络拓扑结构图与当前网络系统结构的符合性;
(2)网络结构设计和区域划分的合理性;
(3)重要区域和网段、业务、职能部门的隔离性;
(4)重要业务系统的带宽优先级;
(5)路由控制;
(6)网络冗余性配置。
2)访问控制
(1)检查身份认证系统运行情况和相关记录文件;
(2)检查访问控制措施实施情况以及相关的监控和记录文件。
3)安全审计
(1)检查审计数据保护措施实施情况;
(2)检查审计数据的审查记录文件;
(3)检查审计工具使用情况。
4)边界检测
带宽控制、非授权连接行为检查和阻断。
5)入侵防范
(1)检查入侵检测技术实施情况以及相关监控和记录文件;
(2)检查攻击情况和相关额攻击记录。
6)恶意代码防护
(1)恶意代码检测、清除措施实施情况和记录;
(2)恶意代码库升级情况。
7)网络设备防护
(1)用户身份鉴别;
(2)网络管理员登录地址限制;
(3)网络设备用户标识唯一性;
(4)登录失败处理功能;
(5)权限分离;
检查条目和结果判定参见网络安全检查表,如表14-7所示。
表14-7 网络安全检查表
检查对象:主机安全中各类保护措施的实施情况,以及相关记录、日志和审计文件。
检查条目:
1)身份鉴别机制
(1)检查操作系统和数据库系统管理员用户的身份标识和鉴别;
(2)检查操作系统和数据库系统管理员用户标识唯一性和不可冒用性和口令的复杂性;(3)检查用户登录失败的处理机制;
(4)检查服务器远程管理功能及其保护措施;
(5)检查管理员身份鉴别组合技术及其实施情况。
2)访问控制机制
(1)检查访问控制机制的实施、审计情况和相关审计记录;
(2)检查管理员用户权限分配情况是否符合最小权限管理;
(3)检查操作系统和数据库管理系统管理员权限分离情况;
(4)检查其他默认账号的权限分配和管理情况;
(5)检查敏感资源标记情况,以及对敏感资源进行控制。
3)安全审计
(1)检查审计范围覆盖情况;
(2)检查审计内容覆盖情况;
(3)检查审计安全记录内容;
(4)检查审计报表生成和自动生成情况;
(5)检查审计进度保护情况;
(6)检查审计记录保护情况。
4)剩余信息保护
(1)检查操作系统和数据库系统用户鉴别信息所在的存储空间(内存和硬盘空间)移为他用时剩余信息和痕迹清除情况;
(2)检查系统文件、目录和数据库等资源文件存储空间,被释放或移为他用时剩余信息清理情况。
5)入侵防范
(1)检查主机入侵检测软件运行情况和入侵检测记录;
(2)检查重要程序完整性检查和恢复措施;
(3)检查操作系统安全是否符合最小安装原则,以及系统补丁的升级和更新情况。
6)恶意代码防护
(1)检查恶意代码软件的安装、运行和更新情况;
(2)检查主机恶意代码库和网络恶意代码库分离情况;
(3)检查恶意代码库的统一管理和升级。
7)资源控制
(1)检查终端登录限制情况;
(2)检查安全策略中终端登录超时情况;
(3)检查单个用户系统资源使用情况;
8)备份恢复
(1)检查关键网络设备、通信线路、关键设备的硬件冗余情况,保障系统的高可用性;检查条目和结果判定操作主机安全检查法,如表14-8所示。
1)脆弱性检查
检查对象:重要业务系统和网站等重要应用系统。
检查条目:业务系统和网站等重要应用系统中、高风险安全漏洞情况。
2)应用措施防护
检查对象:业务系统和重要网站等应用系统。
检查条目:
(1)防篡改与恢复功能;
(2)WEB应用层防护功能。
3)门户网站监测
检查对象:门户网站系统。
检查条目:
(1)系统可用性监测;
(2)信息破坏事件监测;
(3)有害程序事件监测;
(4)信息内容安全监测。
检查条目和结果判定如表14-9所示。